С развитието на киберрисковете в компанията трябва да се развивате и вие. Ето 5 съвета за създаване на култура на киберсигурност, която защитава бизнеса ви и е значима за служителите ви.
Създаването на култура на киберсигурност винаги е било важен елемент от стратегията за киберсигурност на дадена организация. Въпреки това масовото преминаване към дистанционна работа, предизвикано от COVID-19, последвано от развитието на хибридните работни места, коренно промени пейзажа на заплахите.
Политиките за киберсигурност от миналото и дори тези, въведени в началото на пандемията, трябва да бъдат преразгледани пред лицето на новите предизвикателства пред киберсигурността. Новите рискове трябва да бъдат идентифицирани, формулирани и гарантирано съгласувани с бизнес стратегията.
Защото с промяната на рисковите профили трябва да се променя и културата на киберсигурност на организацията. А поведението и начинът на мислене, необходими за справяне с променящите се рискове за сигурността - културата за киберсигурност на компанията - трябва да се разпространят в цялата организация.
Какво представлява културата на киберсигурност и защо е важна?
Културата на киберсигурност трябва да се разглежда като работна среда, в която всички са загрижени за киберсигурността и са мотивирани да я подобрят; хората разбират защо киберсигурността е важна и виждат себе си като част от решението.
Насърчаването на културата на киберсигурност също така гарантира, че служителите са наясно с това какви са или какви биха могли да бъдат рисковете и разбират как да реагират или да докладват за тях. Тази осведоменост от своя страна помага за по-добрата защита на организацията, като създава силна защитна линия срещу кибератаки и потенциални нарушения на сигурността на данните.
Предизвикателства
Липсата на адекватен бюджет за сигурност е едно от основните предизвикателства за всяка организация. Друго е създаването на култура на киберсигурност без подкрепата на ръководството на компанията.
Сигурността има лоша репутация. "Марката за сигурност" е важен елемент в създаването на култура на киберсигурност. Това, че те невинаги се уважават или разбират, е пречка, която екипите по сигурността трябва да преодолеят, като работят за промяна на отношението на хората към сигурността.
Главният служител по сигурността на организацията трябва да се справи с предизвикателството. Намирането на трансформиращ се CISO, който може да ръководи и изгражда култура на киберсигурност - и да я превърне в приоритет - ще бъде предизвикателство за много компании.
5 най-добри практики за създаване на култура
Тук е представен преглед на пет ключови най-добри практики, които помагат на специалистите по информационна сигурност да създадат култура на киберсигурност в цялата организация.
1. Инвестирайте в правилните инструменти за сигурност.
Инструментите за сигурност са неразделна част от многопластовата защита, но те не са панацея срещу кибератаки. Препоръчително е да разполагате с добре обмислено допълнение от инструменти за киберсигурност, които могат да увеличат "човешкия аспект" на киберсигурността.
Инвестирането в решения SIEM, които използват техники за машинно обучение, например, може да помогне на служителите на центъра за операции по сигурността да увеличат възможностите си за откриване и реагиране, да подобрят съотношението сигнал/шум и да дадат възможност на анализаторите по сигурността да се съсредоточат върху важните заплахи.
Важно е обаче да се помни, че с развитието на технологиите и увеличаването на кибератаките недостигът на умения в областта на киберсигурността само се задълбочава. Наложително е да се набират, обучават и задържат кибернетични таланти от широк спектър от области, за да се изпреварва кривата.
2. Осигуряване на достъп до сигурността
Мениджърите по сигурността трябва да започнат да работят с висшето ръководство. Специалистите по сигурността трябва да разберат и да се съобразят с бизнес стратегията, да идентифицират рисковете, свързани с тази стратегия, и да ги съобщят по подходящ начин с бизнес термини.
След като мениджърите разберат по разбираем начин какъв е рискът и какво се изисква от тях, те могат да продължат напред.
3. Насърчаване на киберхигиената от край до край.
За да се постигне реално въздействие, добрите практики за киберсигурност трябва да произлизат от ръководството и да се разпространяват в цялата организация. Ако главният изпълнителен директор демонстрира положителни практики в областта на киберсигурността и дава добър пример на останалата част от компанията, останалите членове на екипа вероятно ще последват примера му.
Киберсигурността трябва да се превърне в приоритет и да даде тон на останалата част от компанията.
- Насърчавайте ръководителите си да участват в курсове за обучение по киберсигурност.
- Прилагане на политики и процеси за сигурност във всички звена, независимо от йерархичното ниво.
- Работете със създателите на политики, за да адаптирате процедурите към начина, по който те работят за членовете на управителния съвет: ако политиките не работят за тях, те вероятно не работят и за по-ниските нива на организацията.
- Приемете, че е необходимо време, за да се разпространят практиките в цялата компания: за да се развие културата, са необходими време и усилия.
4. Фокус върху човешкото същество
Екипите по сигурността често погрешно отъждествяват "ориентираната към човека" програма за сигурност с провеждането на обучение за повишаване на осведомеността за сигурността, което всички служители трябва да преминат.
Трябва да започнете с хората. Това означава да анализирате заинтересованите страни, да разберете поведението и предизвикателствата им и да разберете какво трябва да се промени и как да го осъществите. След това, въз основа на това, създавате своите инициативи за култура на безопасност за всяка от тези общности на заинтересованите страни.
5. Работа по стратегия за нулево доверие
Стратегиите за сигурност като многофакторното удостоверяване (MFA) и нулевото доверие често се обсъждат в средите за киберсигурност като методи за повишаване на контрола на достъпа, но нулевото доверие бързо набира популярност и много организации вече се стремят да възприемат този начин на мислене.
Стратегията за нулево доверие в корпоративната киберсигурност е рамка, която изисква всички потребители да бъдат непрекъснато удостоверявани, оторизирани и валидирани, преди да им бъде предоставен достъп до определени системи или данни на предприятието. Това включва както потребители в мрежата на компанията, така и потребители извън нея, тъй като навлизаме в постоянна фаза на хибридна работа.
Налагането на този модел в цялата компания означава, че всички в компанията се сблъскват с едни и същи мерки за сигурност, което оставя малко място за грешки, които могат да ви костват бизнеса.
Заключение
Твърде малко организации подчертават значението на културата на сигурност, което може да доведе до недобре информирано вземане на решения, компрометиране на системите и кибернетични нарушения.
Развитието на култура на киберсигурност е непрекъснат процес и изисква участието на всички нива в организацията.
С прилагането на добри практики за киберсигурност на работното място не само ще изградите култура на сигурност с течение на времето, но и организацията ви ще бъде по-добре защитена от киберзаплахи.
